Una nueva prueba de cómo Apple recopila datos de uso de iPhone descubrió que la compañía recopila información de identificación personal, mientras al mismo promete explícitamente que no lo hace.
La política de privacidad que rige los dispositivos de Apple dice que “ninguna de la información recopilada identifica personalmente al usuario”. Pero un análisis de los datos enviados a Apple muestra que incluye un número de identificación permanente e inmutable llamado “Identificador de servicios de directorio”, o DSID, según investigadores de la compañía de software Mysk. Apple recopila ese mismo número de ID o identificación junto con información para tu ID de Apple, lo que significa que el DSID está directamente relacionado con tu nombre completo, número de teléfono, fecha de nacimiento, dirección de correo electrónico y más, según las pruebas de Mysk.
De acuerdo con la política de análisis de Apple, “los datos personales no se registran en absoluto, están sujetos a técnicas de preservación de la privacidad, como la privacidad diferencial, o se eliminan de cualquier informe antes de que se envíen a Apple”. Pero las pruebas de Mysk muestran que el DSID, que está directamente vinculado a tu nombre, se envía a Apple en el mismo paquete que el resto de la información analítica.
“Conocer el DSID es como saber tu nombre. Es igual a tu identidad”, dijo Tommy Mysk, desarrollador de aplicaciones e investigador de seguridad, quien realizó la prueba junto con su socio Talal Haj Bakry. “Todos estos análisis detallados se vincularán directamente con usted. Y eso es un problema, porque no hay forma de apagarlo”.
Los hallazgos empeoran los descubrimientos recientes sobre los problemas y promesas de privacidad de Apple. A principios de este mes, Mysk descubrió que Apple recopila información analítica incluso cuando se desactiva una configuración del iPhone llamada “Compartir análisis de iPhone”, una acción que Apple promete “deshabilitará por completo el uso compartido de Device Analytics”. Días después de que Gizmodo informara sobre las pruebas de Mysk, se presentó una demanda colectiva contra Apple por supuestamente engañar a sus clientes sobre el tema.
Apple aún no ha realizado comentarios al respecto. La compañía no ha dicho nada públicamente sobre las aparentes contradicciones en sus promesas de privacidad o la demanda reciente.
En teoría, Apple podría argumentar que un número de identificación no es información personal. Pero el RGPD, la importante ley de privacidad europea que estableció el estándar para la regulación de datos en todo el mundo, define los datos personales como cualquier información que identifique “directa o indirectamente” a una persona, incluyendo los números de identificación.
“Creo que la gente debería estar molesta por esto”, dijo Mysk. “Esto no es Google. La gente opta por el iPhone porque piensa que este tipo de cosas no van a pasar. Apple no tiene derecho a vigilarte”.
Mysk publicó información sobre este análisis en un hilo de Twitter el domingo 20 de noviembre.
En algunos casos, estos datos analíticos aparentemente incluyen detalles sobre cada uno de tus movimientos. Las pruebas de Mysk muestran que los análisis para la App Store, por ejemplo, incluyen cada cosa que has hecho en tiempo real, incluyendo los toques en pantalla, qué aplicaciones buscaste, qué anuncios viste y cuánto tiempo miraste una aplicación determinada. Puede ver los datos, enviados en tiempo real, en un video en el canal de YouTube de Mysk.
En el transcurso de estas pruebas, los investigadores verificaron su trabajo en dos dispositivos diferentes. Primero, usaron un iPhone con jailbreak con iOS 14.6, lo que les permitió descifrar el tráfico y examinar exactamente qué datos se enviaban. Apple introdujo una configuración de privacidad en iOS 14.5 que evita que otras empresas recopilen datos llamada Transparencia de seguimiento de aplicaciones, lo que permite a los usuarios decidir si dan o no sus datos a aplicaciones mediante el mensaje “¿Pedir a la aplicación que no rastree?”
Los investigadores también examinaron un iPhone sin jailbreak y con iOS 16, el último sistema operativo, lo que reforzó sus hallazgos. No pudieron examinar exactamente qué datos se enviaron porque el cifrado del teléfono permaneció intacto, pero las similitudes con las pruebas en el teléfono con jailbreak sugieren que los patrones que encontraron allí pueden ser el estándar en los iPhones. Hay pocas razones para pensar que el teléfono con jailbreak enviaría datos diferentes, dijeron, y en iOS 16 vieron las mismas aplicaciones enviando paquetes de datos similares a las mismas direcciones web de Apple. Los datos se transmitieron al mismo tiempo en las mismas circunstancias, y activar y desactivar la configuración de privacidad tampoco cambió nada.
Es posible que Apple procese los datos DSID para albergar detalles de identificación personal cuando la empresa recibe la información, separando la información personal de otros datos. Pero no hay forma de saberlo, porque hasta ahora Apple parece no estar dispuesto a explicar sus prácticas. Es posible que la empresa no use los datos si se desactiva la configuración de privacidad relacionada, a pesar de que la compañía la siga recibiendo, pero no es así como Apple explica lo que hacen las configuraciones en su política de privacidad.
Los hallazgos son muy problemáticos dados los años que Apple lleva considerándose a sí misma como una empresa dedicada a la privacidad. Las recientes campañas de marketing de Apple sugieren que se supone que las prácticas de privacidad de la empresa son mucho mejores que las de otras empresas tecnológicas. Puso vallas publicitarias enormes del iPhone con el mensaje “Privacidad. Eso es iPhone”, y publicó anuncios en todo el mundo durante meses.
Pero Apple está dando pasos para construir su propio imperio publicitario, basado en los datos personales de sus cientos de millones de usuarios. Incluso la propia configuración de privacidad de la empresa puede verse como parte de un largo juego para derrotar a sus competidores publicitarios, aunque Apple niega esa acusación.
Por su parte, los hallazgos suponen un gran sorpresa para Tommy Mysk. En el pasado, “siempre permitía que las apps compartieran análisis con Apple, porque quiero ayudarlos”, dijo Mysk. “Pero siempre supuse que los datos se enviarían de forma anónima”.